通付盾发布 2017 年度移动安全报告:金融行业仿冒威胁严重

摘要

  2017 年,移动 APP 开启知识内容付费「元年」,移动应用市场正在形成以微信、淘宝、支付宝等为代表的超级应用形态。截至 2017 年 12 月,我国移动应用数量规模超过 570 万, 较 2016 年增长 14.14%,新生应用增长放缓。

  2017 年,移动 APP 开启知识内容付费「元年」,移动应用市场正在形成以微信、淘宝、支付宝等为代表的超级应用形态。截至 2017 年 12 月,我国移动应用数量规模超过 570 万, 较 2016 年增长 14.14%,新生应用增长放缓。

  形成对比的是,恶意、仿冒等危险应用增长明显:2017 年恶意应用数量总计 29,701 个,同比增长 28.66%;高危应用总计 858,406 个,同比增长 5.58%;仿冒应用数量总计 28,154 个,同比增长 21.94%。恶意、仿冒应用增长趋势远超移动应用总体增长速度。部分移动应用被不法分子利用,传播暴力恐怖、淫秽色情等违法违规信息,安全问题突出的移动应用窃取用户信息、擅自使用付费业务、恶意推送广告等,直接损害用户的切身利益,威胁用户隐私信息安全。


图 2016-2017 年 Android 恶意应用增长显著

      一、移动应用安全

  (一)恶意应用不断进化

  2017 年,Android 恶意应用从 23,000 余款增长到 29,701 款,一年之内规模增长了 28.66%。其中,流氓行为 (占比 30.46%)、资费消耗 (占比 28.84%) 及信息窃取 (占比 22.65%) 三类占比最高,是移动应用中的「顽疾」。对恶意应用所属地域监控数据显示,经济发达地区是恶意应用威胁主要区域。在传播方式上,恶意应用开始从移动应用分发平台向论坛、网盘扩散,出现了利用夹带恶意代码的 SDK 传播的新方式。


图 2017 年 Android 恶意应用类型占比图

  (二)漏洞数量增长明显

  数据显示,2017 年移动应用安全漏洞数量规模累计超过 2.8 亿,2017 年由于高危漏洞导致经济损失达到数千亿美元,安全漏洞类型也在明显增多。2017 年共监测到 19 种不同类型的移动高危漏洞,位列前三的漏洞种类包括:WebView 系统隐藏接口漏洞、WebView 远程代码执行安全和 WebView 组件忽略 SSL 证书验证错误漏洞。


图 2017 年 Android 移动应用高危漏洞类型分布

  此外,移动应用第三方 SDK 安全漏洞成为安全漏洞新趋势之一。SDK 安全漏洞一旦被利用,攻击者就能利用 SDK 本身的功能发动恶意攻击,例如在用户毫无察觉的情况下打开相机拍照,通过发送短信盗取双因子认证令牌,或将设备变成僵尸网络一部分。

  (三)仿冒威胁全面扩散

  2017 年,仿冒应用规模从 2.3 万+增长到 2.8 万+,增长 21.74%,仿冒成风,不少仿冒软件内置恶意代码,并以隐私窃取、推送广告、恶意扣费等方式损害用户利益。仿冒应用制作成本低廉,并形成地下产业链,使得仿冒未得到有效遏制,不断向各行业扩散,其中游戏娱乐行业成为仿冒重灾区,该行业仿冒应用数量占到所有行业的 52.27%。


图 Android 仿冒应用行业分布

  二、行业应用安全

  (一)金融行业遭遇仿冒威胁严重

  监测数据显示,2017 年度,金融行业面临的应用仿冒问题严重。包括银行、现金贷、第三方支付、互金等行业均发现仿冒应用。仅互联网金融仿冒应用多达 1300 余个,仿冒 APP 累计下载量达 3000 万次,包括支付宝、京东金融等在内的主流支付应用皆被仿冒。直接威胁用户的银行卡、账号、密码等信息财产安全。


表 仿冒活跃平台下载量 TOP5

  (二)交通出行应用暴露安全隐患

  2017 年,包括「网约车」、共享单车等在内的交通出行移动应用总计达 41,389 款,在行业快速发展时期,应用安全问题给监管部门带来了新的挑战。


  以「网约车」行业为例,各类网约车应用相继出现「整蛊漏洞」、恶意扣费、司机恶意刷单、植入恶意代码等现象。

  同时,蓬勃发展的共享单车行业移动应用更频繁暴露出业务逻辑、二维码、产业链等各层面安全问题,导致安全事件频频发生。以某知名单车客户端业务逻辑漏洞为例,导致该企业在共享单车「红包大战」中日亏损千万的严重后果。


图 共享单车乱象

  (三)移动政务安全成热点话题

  数据显示,2017 年政府服务类移动应用中,高危应用数占比高达 4.53%,安全漏洞问题突出。以某市交通管理类移动应用为例,安全专家对该应用代码进行分析,很容易就找到该应用的多个代码安全漏洞,这些漏洞极易导致设备被安装远程控制木马、通讯录和短信被窃取等安全事件发生。


图 某市交通管理 APP 运行界面及漏洞代码示意图

  三、网络黑产威胁

  个人信息泄露给社会带来了巨大的危害,而且在不断深化。数据显示:网民平均每周收到垃圾邮件 18.9 封,垃圾短信 20.6 条,骚扰电话 21.3 个。2017 年,因个人信息泄露、垃圾信息、诈骗信息等现象导致的损失高达 915 亿元,黑灰行业已经形成巨大的产业链。


  2017 年 11 月,诺基亚发布了《2017 年度威胁情报报告》。报告中显示,智能手机占掉了所有移动网络病毒感染的 72%,而其中 Android 设备的感染率达到了 69%,远远过半。国家互联网应急响应中心从 4 月份起发布的一系列勒索病毒通报也显示,勒索病毒总体仍然处于上升趋势。攻击者利用红包的诱惑伪装成红包助手类应用诱导下载,使受害人的手机感染。


  2017 年是数据泄露史上最糟糕的一年,2017 年仅上半年被盗的数据,就已经超过了 2016 年全年被盗数据总量。数据泄露已成为全球最普遍存在的网络安全事件之一。数据窃取的目标从政府机构扩大到第三方承包商和数据集成商,以及安全厂商和解决方案提供商自身。

  在国内,平均每一个移动应用含有不同等级约 40 个漏洞,多达 80% 的移动应用都存在内存敏感数据泄露问题。用户的个人通讯录、电话、短信、录音等数据都在偷偷流向「远方」。2017 数据泄露之外数据之争也成为焦点,继顺丰菜鸟的数据之争后,腾讯、华为的互怼消息再次引爆全行业及社会对用户数据的关注。在大数据时代,用户数据背后所蕴藏的利益交织与地盘争夺,让不少巨头纷纷为此大打出手,似乎「谁掌握了数据,谁就能成功」。用户数据俨然已经成为各大互联网企业竞争的一座「金矿」。而对于使用者来说,我们暴露在一个透明的时代。

  四、网络安全政策篇

  2017 年,我国网络安全法律政策围绕关键基础设施、个人数据安全、网络应急响应等核心制度展开,以「网络安全法」为根本性法律框架,密集发布多项要求性细则规定。包括《国家网络空间安全战略》、《网络空间国际合作战略》、《互联网域名管理办法》等。


图 网络安全法规建设进程

  8 月 18 日,杭州互联网法院挂牌成立,是全国第一家集中审理涉网案件的试点法院。10 月 15 日,全国信息安全标准化技术委员会 2017 年第二次会议周在厦门召开,网络安全等级保护制度 (等保 2.0) 正在积极推动过程中,将会影响到云计算安全、移动互联安全、物联网安全、工业控制系统安全等领域的产品、服务合规要求。

  网络安全领域的建设离不开合理的立法和标准的指导,国家《网络安全法》作为建设网络强国的法制保障,为网络安全带来了机遇,网络安全行业将更加有序、更加有章可循,相关工作也会更加规范地开展和实施。所涉及的相关组织机构、人员等重视程序、意识形态也将得到明显的改善和提升。

  五、移动应用趋势篇

  (一)移动安全边界不断扩大

  移动安全的边界在逐步扩大,除了传统的 Android、iOS 生态的安全漏洞外,数量迅速上升的物联网设备、智能汽车、无人机等设备,其安全问题也纳入了移动安全范围。这将使得移动安全漏洞数量成倍增长,且漏洞的复杂程度、种类、修复难度等都有了质的变化,其造成影响也愈发深远。

  苹果的 FaceID 技术可被基于图片制作的 3D 假脸骗过,从而解锁手机,造成重大安全隐患。2017 年 12 月,研究机构指出,Tensorflow、Caffe、Torch 三个 AI 框架存在 15 个安全漏洞,可以被黑客用于攻击,可篡改数据流,欺骗人工智能应用。浙江大学通过将人声信息转化为超声波,可在用户没有感知的情况下,远距离操作如 Siri、Alexa 等智能语音助手,进行拨打电话等操作。

  2017 年,物联网设备数量已经超过人类数量总和,达到 84 亿,物联网已从如何低成本大规模部署,演进为怎样高效率利用物联网大数据,落地到解决生产生活的效率、安全、管理问题。小米在 2017MIDC 大会上宣布,其物联网开放平台连接的设备超过 8500 万台。而其中的大部分设备,都可以通过小米推出的米家 App 进行管理,可以读取设备数据、设置设备参数、升级设备固件。移动应用已经与物联网深度融合,成为物联网产业链的重要一环。物联网产业上下游供应链极长,复杂度高。而移动安全是物联网安全体系的重头戏之一,应当引起足够的重视。

  (二)企业安全防护策略更加主动

  近年来,由于数据价值的日益凸显,企业对于网络安全保障的投入也逐年上升,据调查显示,中国内地与香港企业在网络安全方面的平均投入比全球数值高出 23.5%,受访企业的平均预算达 630 万美元。

  相对于风险保护这种被动挨打的方式,企业保障网络安全的方式开始倾向于主动出击的预防模式。人工智能的应用,将积极推动企业采用主动防御策略。人工智能将辅助安全专家,抹平从「检测到安全威胁」到「进行补救」的时间差。思科在应用机器学习后,结合共享共通的威胁情报,将发现威胁的时间由原来的十数天降低到 3.5 小时。在移动安全领域,人工智能应用突飞猛进,活跃于恶意软件识别、隐藏活动监控、移动威胁探测等多个方面。

  由于网络安全问题的牛尾效应,问题越早发现,造成的损失越小。结合现有的被动防御体系,增加提前预警、自发修复的主动预防比重,是企业网络安全防护的应用趋势。


最新文章

极客公园

用极客视角,追踪你不可错过的科技圈.

极客之选

新鲜、有趣的硬件产品,第一时间为你呈现。

张鹏科技商业观察

聊科技,谈商业。